普元EOS Platform eos.jmx 远程代码执行漏洞复现

0xSecl

已于 2024-04-24 15:05:07 修改

阅读量1.8k

点赞数 6

分类专栏：漏洞复现文章标签：安全 web安全

于 2024-04-24 15:04:34 首次发布

本文链接：https://blog.csdn.net/qq_41904294/article/details/138159384

版权

漏洞复现专栏收录该内容

895 篇文章 1461 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

0x01 产品简介

普元 EOS Platform是普元信息技术股份有限公司推出的一款集成了低代码开发、微服务应用、开发运维一体化等功能的企业级应用开发平台。它帮助企业实现软件开发、运维一体化管理，提升IT运营效率和业务响应速度。

0x02 漏洞概述

普元EOS Platform 中间件 eos.jmx 接口存在反序列化漏洞，未经身份验证的攻击者可利用此漏洞执行任意代码，反弹shell或者写入后门文件，进一步可获取服务器权限。

0x03 影响范围

Primeton EOS Platform version ≤ 7.6

0x04 复现环境

FOFA：body="普元" || (body="ame.primeton.com" && body="eos-web")

0x05 漏洞复现

Exp

POST /workspace/frame/permission/common/eos.jmx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/53

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

0xSecl

关注关注

6
点赞
踩
1

收藏

觉得还不错? 一键收藏
打赏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

普元EOS Platform远程代码执行漏洞复现(XVE-2023-24691)

0xSec

04-24

1744

普元EOS Platform 中间件任意 .jmx或者.download 后缀的接口存在反序列化漏洞，未经身份验证的攻击者可利用此漏洞执行任意代码，反弹shell或者写入后门文件，进一步可获取服务器权限。

普元EOS7.6安装步骤.pdf

06-12

普元EOS7.6安装步骤（包含windows安装、linux哑安装），企业版、开发版，包括软硬件安装所具备的条件

1 条评论您还未登录，请先登录后发表或查看评论

普元EOS-微前端项目创建

最新发布

cuipy的博客

08-15

1184

这两种方式的思路，都是将myapp项目的访问路径放到精简应用下。比如，精简应用的访问地址是 http://127.0.0.1:28015 ，想办法通过 http://127.0.0.1:28015/myapp 可以访问到myapp 就行了。上面这些做到后，精简应用和myapp微前端的路径关系已经确立了，可以在AFCenter中进行具体的访问微前端页面的配置了。

EOS要暴跌了！360发现EOS含有惊天漏洞，或可导致EOS价值全部归零

05-29

600

最近，币市的行情一片愁云惨淡，连带着笔者的心情也变糟了。行情不好就算了，偏偏国内的一些公司还来添乱。除了散布谣言做空外，最近又出现了特型演员做空，真是让人目瞪口呆。在这股做空的大潮中，360公司可谓是最特立独行的一个。近日，360安全软件公司发布了一篇博文，里面详细描述了360公司下属的伏尔甘团队发现EOS安全漏洞的过程。据报道，360公司发现EOS内存在一个史诗级的漏洞，其中部分漏洞可以在EO...

【远程漏洞】远程代码执行漏洞的二三事

kali_Ma的博客

06-11

765

远程命令执行漏洞的概念远程命令执行漏洞，指用户通过浏览器提交执行操作命令，由于服务器端，没有针对执行函数做过滤，就执行了恶意命令远程代码执行漏洞概念代码执行漏洞也叫代码注入漏洞，指用户通过浏览器提交执行恶意脚本代码，执行恶意构造的脚本代码两者区别命令执行：一般指操作系统命令远程代码执行：一般指的是脚本代码造成的原因造成的原因是Web服务器对用户输入命令安全检测不足，导致恶意（操作系统命令或脚本代码）被执行。命令执行漏洞命令执行漏洞的分类代码层：一些商业应用

普元 DI 6.2，DI使用的tomcat7.0.54扫描出安全漏洞，有什么解决方案么？

普元开发者乐园

12-04

974

普元 DI 6.2，DI使用的tomcat7.0.54扫描出安全漏洞，有什么解决方案么？

EOS节点远程代码执行漏洞细节

weixin_33700350的博客

05-31

258

这是一个缓冲区溢出越界写漏洞漏洞存在于在 libraries/chain/webassembly/binaryen.cpp文件的78行, Function binaryen_runtime::instantiate_module: for (auto& segment : module->table.segments) { Addres...

【漏洞复现】普元EOS Platform-RCE漏洞-eos

知黑而守白

05-15

303

Primeton EOS Platform是普元信息技术股份有限公司推出的一款集成了低代码开发、微服务应用、开发运维一体化等功能的企业级应用开发平台。它帮助企业实现软件开发、运维一体化管理，提升IT运营效率和业务响应速度。普元EOS Platform eos.jmx接口处存在RCE漏洞，恶意攻击者可能利用此漏洞执行恶意命令，获取服务器敏感信息，最终可能导致服务器失陷。

EOS.rar_EOS_普元_普元EOS_普元EOS教程

09-23

**EOS - 普元企业服务总线** EOS（Enterprise Service Bus），由普元公司研发，是一款高效、灵活的企业服务总线系统。它在SOA（Service-Oriented Architecture，面向服务架构）环境中扮演着核心角色，为企业提供了...

普元EOS开发积累第一篇（常见错误解决方法）持续更新

asdfgh0077的博客

08-12

414

普元EOS开发积累第一篇（常见错误解决方法）持续更新

普元_eos_demo

04-10

可以对普元eoc进行初步认识

普元EOS 实例Demo -- Primeton NUI Demo

06-01

Primeton NUI Demo-普元EOS快速入门Demo、控件列表、新版本功能等！

EOS_Platform_7.0基础开发教程

03-15

内包含EOS_Platform_7.0基础开发教程.pdf和基础教程案例源代码及SQL.rar

解密普元大文件传输平台新版本21种特性

低代码开发，数据，中间件，企业架构原创技术分享

04-05

405

本文主要介绍大文件传输平台及其传输特性，以平台版本升级为切入点，探讨大文件传输平台对多种传输场景的支持及部署管控方面能力的增强。目录01普元大文件传输平台‍‍02普元文件传输平台新版本特性‍‍‍‍‍‍03信创项目案例‍‍04总结01普元大文件传输平台‍1.1 文件传输面临的挑战随着企业业务拓展，业务量及业务场景的增加，随之增加的不仅仅是数据的体量，复杂部署环境、多场景混合传输需...

eos7.6安装与环境配置

myflok的专栏

02-27

3491

安装及环境配置软件准备： 1、 EOS_Platform_7.6_Developer_Edition_x64 2、 apache-maven-3.3.9 3、 nexus-2.14.2-01-bundle 4、 Maven仓库部署包安装步骤： 1、安装oracle数据库，新建用户eos76，sql语句如下： create user eos76 identified

普元 EOS

weixin_33845477的博客

09-02

218

产品详细说明普元 EOS（以下简称 EOS）是基于J2EE平台、采用面向构件技术实现企业级应用开发、运行、管理、监控、维护的中间件平台。它将J2EE体系规范、构件技术、XML技术和可视化开发技术完美结合起来，为基于J2EE平台之上的应用提供了面向构件的应用架构，通过图形化的构件单元作为应用系统的基本组成元素，为企业级应用系统的开发带来了卓越的价值： .统一的企业级应用平台 .快速响应...

普元EOS学习笔记-EOS的ide开发工具的介绍

cuipy的博客

07-24

694

普元EOS开发包括低开和高开。EOS低开，直接在浏览器操作即可，不需要编码。EOS高开，需要使用EOS的ide工具，进行编码开发。EOS的ide工具是普元在Eclipse基础上进行的扩展，添加了若干插件，专门用于EOS开发。本文章将介绍如何获取EOS的ide工具。本文章将以EOS 8.3.1来讲解。